È stata pubblicata la metodologia di classificazione di dati e servizi cloud per rafforzare la sicurezza dei dati e dei servizi della Pubblica Amministrazione.
La classificazione dei dati è una delle tre direttrici della Strategia Cloud Italia, annunciata dal ministro per l’innovazione tecnologica e la transizione digitale Vittorio Colao lo scorso 7 settembre, insieme alla qualificazione dei servizi cloud e al Polo Strategico Nazionale, per guida gli enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud.
Le linee guida, dettate dall’Agenzia per la Cybersicurezza Nazionale e dal Dipartimento per la trasformazione digitale, consentono per la prima volta di determinare il livello di criticità dei dati e dei servizi pubblici scegliendo tra strategico, critico e ordinario, in relazione ai possibili impatti sul benessere del Paese derivanti da una loro eventuale compromissione.
Ecco i 3 livelli di classificazione:
- strategico: servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
- critico: servizi la cui compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
- ordinario: servizi la cui compromissione non provochi un pregiudizio per il benessere economico e sociale del Paese.
La classificazione di dati e servizi entro il 18 luglio 2022
A partire dal 19 aprile, tutte le amministrazioni dovranno completare il percorso di classificazione di dati e servizi, seguendo le indicazioni definite dall’Agenzia per la cybersicurezza nazionale e utilizzando la piattaforma PA digitale 2026. La classificazione, inoltre, è propedeutica alla partecipazione agli avvisi pubblici dedicati al cloud per beneficiare delle risorse del Piano Nazionale di Ripresa e Resilienza.
È possibile completare la classificazione entro il 18 luglio 2022, spiega in una nota l’ACN. I risultati verranno utilizzati, nell’ambito del processo di migrazione al cloud della PA, come base decisionale per l’identificazione delle opportune tipologie di soluzioni cloud di destinazione per ogni servizio. Ai livelli di criticità, infatti, sono associate diverse misure di sicurezza, qualità e affidabilità che i servizi e le infrastrutture cloud dovranno implementare per poterli erogare.
Cloud per la Pa: come procedere con la classificazione
La classificazione di dati e servizi consiste nella compilazione di un questionario strutturato in più sezioni. Il questionario consente di svolgere un esercizio semplificato di valutazione del contesto di erogazione e dei possibili impatti derivanti da una possibile compromissione in termini di disponibilità, confidenzialità e integrità dei dati e dei servizi gestiti. La valutazione di ciascuna delle sezioni concorre alla definizione del livello finale per un dato servizio nelle tre classi strategico, critico e ordinario, secondo un algoritmo di calcolo predefinito.
Dove è possibile fare la classificazione
La classificazione è disponibile dal 19 aprile all’interno della piattaforma PA digitale 2026 ed è propedeutica al processo di migrazione al cloud delineato dal Regolamento per il Cloud della PA dell’Agenzia per l’Italia Digitale.
Accedendo con l’identità digitale (SPID o Carta di Identità Elettronica), gli enti possono compilare il percorso individuato dall’Agenzia in accordo con il Dipartimento per la trasformazione digitale. Una volta ultimata verrà valutata la conformità della classificazione dall’Agenzia per la Cybersicurezza Nazionale.
